IoT智能硬件安全威脅分析與應(yīng)對(duì)方法

樊期光 彭華熹 齊文杰 彭 晉 何 申

(中國移動(dòng)通信有限公司研究院 北京 100053)(fanqiguang@chinamobile.com)

1 IoT智能硬件安全概述

1.1 IoT智能硬件的發(fā)展

IoT智能硬件指具備通信能力、能夠?qū)崿F(xiàn)數(shù)據(jù)發(fā)送及接收、具備信息采集或控制等功能的設(shè)備，如視頻監(jiān)控、傳感器等.物聯(lián)網(wǎng)可通過多種接入網(wǎng)絡(luò)實(shí)現(xiàn)設(shè)備與設(shè)備、設(shè)備與應(yīng)用、設(shè)備與人之間的通信.

隨著物聯(lián)網(wǎng)的快速發(fā)展，IoT智能硬件已廣泛應(yīng)用于個(gè)人穿戴、家庭安防、交通物流、智慧金融、智能家居、環(huán)境監(jiān)測(cè)等行業(yè)，IoT智能硬件無處不在且形態(tài)多樣，功能及計(jì)算能力差異大，在提供服務(wù)的過程中會(huì)生成復(fù)雜的本地和云端數(shù)據(jù).根據(jù)Gartner的預(yù)測(cè)，2020年全球聯(lián)網(wǎng)設(shè)備數(shù)量將達(dá)260億[1]，物聯(lián)網(wǎng)市場(chǎng)規(guī)模超過1.9萬億美元，IDC也給出1.7萬億美元規(guī)模的預(yù)測(cè).

1.2 IoT智能硬件安全問題

在2017年6月開始實(shí)行的《中國人民共和國網(wǎng)絡(luò)安全法》中明確了關(guān)鍵信息基礎(chǔ)設(shè)施定義：“公告通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)等重要行業(yè)領(lǐng)域，以及其他一旦遭受破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施.”當(dāng)前，IoT智能硬件相關(guān)技術(shù)已經(jīng)滲透并深入應(yīng)用到智慧城市、智慧農(nóng)業(yè)、智慧糧庫、智慧能源系統(tǒng)、智慧海洋、智慧醫(yī)療等領(lǐng)域，涉及到關(guān)鍵信息基礎(chǔ)設(shè)施的各個(gè)方面，IoT智能硬件的安全問題已經(jīng)成為關(guān)鍵信息基礎(chǔ)保護(hù)的重中之重.

根據(jù)統(tǒng)計(jì)結(jié)果顯示，70%的IoT智能硬件設(shè)備本身存在被攻擊的風(fēng)險(xiǎn).IoT智能硬件可能會(huì)被黑客利用從事犯罪活動(dòng)，包括監(jiān)控現(xiàn)場(chǎng)、授權(quán)其他用戶遠(yuǎn)程控制等.不論是黑帽大會(huì)安全專家通過簡單應(yīng)用發(fā)出命令遠(yuǎn)程控制胰島素泵，可隨意增加降低病人血糖值，還是BBC和Forbes等媒體報(bào)道家庭攝像頭被遠(yuǎn)程控制，或者是Jeep汽車被篡改固件導(dǎo)致車輛失控，種種的事件顯示出當(dāng)前的IoT智能硬件安全形勢(shì)不容樂觀.

根據(jù)Business Insider的調(diào)查[2]，39%的受訪者認(rèn)為安全問題是阻礙物聯(lián)網(wǎng)投資最重要的屏障，即便如此，62%的管理人員依然計(jì)劃或正在擴(kuò)大采購基于IoT智能硬件的系統(tǒng),而其個(gè)人和家庭消費(fèi)市場(chǎng)更是異?；馃幔@給IoT智能硬件的安全帶來了極大的挑戰(zhàn).

2 IoT智能硬件安全威脅分析

2.1 IoT智能硬件安全威脅分析模型

物聯(lián)網(wǎng)是一個(gè)基于感知技術(shù)，融合了各類應(yīng)用的服務(wù)型網(wǎng)絡(luò)系統(tǒng).可以利用現(xiàn)有各類網(wǎng)絡(luò)，通過自組網(wǎng)能力，無縫連接、融合形成物聯(lián)網(wǎng)，實(shí)現(xiàn)物與物、人與物之間的識(shí)別與感知，發(fā)揮智能作用.在業(yè)界，物聯(lián)網(wǎng)通常被分為3個(gè)層次：底層是感知世界的感知層；中間是數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)層；最上層則是應(yīng)用層.

感知層是所有數(shù)據(jù)的來源，物聯(lián)網(wǎng)發(fā)展的最終目標(biāo)是實(shí)現(xiàn)萬物互聯(lián)，所以感知層的目標(biāo)是全面感知和收集所需的外界信息，感知層通過從智能標(biāo)簽RFID、GPS、環(huán)境傳感器、工業(yè)傳動(dòng)器、攝像頭等各種各樣的IoT智能硬件中獲取原始數(shù)據(jù)，所以IoT智能硬件的安全就是整個(gè)物聯(lián)網(wǎng)安全的源頭.

根據(jù)目前比較普遍存在的安全風(fēng)險(xiǎn)和IoT智能硬件本身的技術(shù)架構(gòu)，本文定義了IoT智能硬件的安全威脅分析模型，如圖1所示.我們將IoT智能硬件的安全問題分為4部分：硬件安全、系統(tǒng)安全、應(yīng)用安全以及數(shù)據(jù)安全.

圖1 IoT智能硬件安全威脅分析模型

2.2 IoT智能硬件安全威脅分析

2.2.1硬件安全威脅

由于部分IoT智能硬件長期暴露在外的特性，IoT智能硬件的物理安全可能會(huì)比傳統(tǒng)互聯(lián)網(wǎng)終端受到更加嚴(yán)重的威脅.無論是城市交通、工業(yè)環(huán)境或者農(nóng)業(yè)環(huán)境中所部署的IoT智能硬件等傳感器分布范圍廣、設(shè)備數(shù)量多、待機(jī)時(shí)間長，如果長時(shí)間無人值守，則這些設(shè)備很可能因?yàn)槠浔┞兜恼{(diào)試接口或者芯片設(shè)計(jì)缺陷導(dǎo)致數(shù)據(jù)直接被黑客捕獲，從而引發(fā)大面積攻擊事件[3].對(duì)于小型家用和個(gè)人IoT智能硬件，攻擊者可以通過較為容易的方式對(duì)其進(jìn)行側(cè)信道攻擊[4-5]，從而獲得更多更敏感的隱私數(shù)據(jù).

除此之外，由于設(shè)備部署環(huán)境的原因，設(shè)備丟失或被盜是物聯(lián)網(wǎng)設(shè)備面臨的普遍威脅，由設(shè)備丟失或被盜引發(fā)的隱私、機(jī)密信息泄露，進(jìn)而可能導(dǎo)致企業(yè)或個(gè)人的財(cái)務(wù)名譽(yù)受損.

2.2.2系統(tǒng)(固件)安全威脅

由于部分物聯(lián)網(wǎng)感知層設(shè)備受硬件資源限制，無法完成大量的計(jì)算任務(wù)，在使用特定硬件架構(gòu)的物聯(lián)網(wǎng)終端上，傳統(tǒng)的訪問控制、沙箱、病毒查殺等系統(tǒng)防御技術(shù)可能無法實(shí)現(xiàn)，導(dǎo)致物聯(lián)網(wǎng)感知層設(shè)備的系統(tǒng)安全十分薄弱.文獻(xiàn)[6]通過分析大量嵌入式設(shè)備系統(tǒng)固件，發(fā)現(xiàn)了許多可以利用的高危系統(tǒng)漏洞.

除此以外，文獻(xiàn)[7]對(duì)比分析包括Android things，RIOT，ARM mbed，Lite OS在內(nèi)等多款現(xiàn)有比較流行的IoT智能硬件操作系統(tǒng)，并指出了其主要存在的3個(gè)問題：終端系統(tǒng)安全設(shè)計(jì)的缺失、原有安全機(jī)制的直接沿用或沒有充分利用自身硬件架構(gòu)特性.現(xiàn)有IoT智能硬件系統(tǒng)在設(shè)計(jì)之初，普遍只關(guān)注其功能要求，大多并沒有考慮對(duì)系統(tǒng)安全進(jìn)行額外的設(shè)計(jì)，例如RIOT，其安全特性主要是針對(duì)多種通信協(xié)議作了改進(jìn)[8]，即使像ARM mbed[9]在設(shè)計(jì)時(shí)將安全考慮在內(nèi)，但其對(duì)于操作系統(tǒng)本身也并沒有采取有效的保護(hù)措施，僅僅是為了保護(hù)通信安全添加了SSL功能.啟動(dòng)代碼沒有進(jìn)行合法性、完整性驗(yàn)證，系統(tǒng)和預(yù)置應(yīng)用組件等漏洞未及時(shí)修補(bǔ)，系統(tǒng)權(quán)限開放過多或權(quán)限限制不嚴(yán)格等問題普遍存在.

2.2.3應(yīng)用安全威脅

目前物聯(lián)網(wǎng)設(shè)備廠商普遍缺乏安全意識(shí)和安全能力，在終端業(yè)務(wù)應(yīng)用的設(shè)計(jì)和開發(fā)過程中可能并未考慮審核安全問題，導(dǎo)致應(yīng)用存在各種邏輯缺陷或者編碼漏洞，甚至有些廠商為了節(jié)約成本直接調(diào)用第三方組件，可能導(dǎo)致在設(shè)備出廠前就已經(jīng)引入了公開的漏洞.隨著物聯(lián)網(wǎng)設(shè)備在工業(yè)等關(guān)鍵設(shè)施中的廣泛應(yīng)用，其安全問題也越發(fā)嚴(yán)重，攻擊者可以通過入侵控制基礎(chǔ)設(shè)備的關(guān)鍵應(yīng)用程序從而造成嚴(yán)重的物理破壞.

應(yīng)用軟件在邏輯設(shè)計(jì)上的缺陷或錯(cuò)誤，可能被不法者利用，通過植入木馬、病毒等方式來攻擊或控制整個(gè)設(shè)備，甚至破壞系統(tǒng).

2.2.4數(shù)據(jù)安全威脅

如本節(jié)開始所述，IoT智能硬件是所有數(shù)據(jù)的源頭，每個(gè)終端以及終端之間的交互通常都會(huì)涉及大量個(gè)人隱私信息或者其他業(yè)務(wù)數(shù)據(jù)，當(dāng)前，物聯(lián)網(wǎng)終端受到硬件資源限制，傳統(tǒng)數(shù)據(jù)安全保護(hù)機(jī)制無法引入，敏感數(shù)據(jù)缺少保護(hù)機(jī)制，同時(shí)沒有明確的數(shù)據(jù)采集、傳輸和訪問控制范圍，未經(jīng)用戶允許，設(shè)備擅自采集大量的用戶隱私信息、隱私信息存儲(chǔ)位置不安全或者未加密、數(shù)據(jù)訪問控制權(quán)限過高等缺陷將會(huì)帶來嚴(yán)重的數(shù)據(jù)泄露風(fēng)險(xiǎn)，這些數(shù)據(jù)很有可能被攻擊者直接篡改或者加以利用.

總的來說，IoT智能硬件各層面臨的安全風(fēng)險(xiǎn)繁多，其原因包括以下幾方面：

1) 成本原因.市場(chǎng)競(jìng)爭(zhēng)環(huán)境要求廠商盡可能使用低成本完成物聯(lián)網(wǎng)功能，因此安全性高的解決方案很可能不會(huì)被采納.

2) 技術(shù)原因.使用者缺乏安全意識(shí)或技能，公眾缺乏安全意識(shí)，導(dǎo)致出現(xiàn)設(shè)備管理或權(quán)限配置不當(dāng)、主從設(shè)備使用不當(dāng)、認(rèn)證信息過于簡單或未修改默認(rèn)配置等問題.

3) 管理原因.缺乏標(biāo)準(zhǔn)要求和指南手冊(cè)來指導(dǎo)和規(guī)范IoT智能硬件的設(shè)計(jì)、研發(fā)、生產(chǎn)、供應(yīng)鏈管理、入庫、入網(wǎng).

3 IoT智能硬件安全防護(hù)方案

基于上述IoT智能硬件安全威脅模型和分析，建議應(yīng)從硬件、系統(tǒng)、應(yīng)用和數(shù)據(jù)各層面引入相應(yīng)的防護(hù)技術(shù)，以提升IoT智能硬件整體安全性.

3.1 硬件安全防護(hù)

IoT智能硬件的硬件安全包括調(diào)試接口安全、芯片安全以及PCB板的布線、連接器安全等.硬件安全防護(hù)能力是IoT智能硬件安全的第1道防線，特別是對(duì)物理攻擊的防范至關(guān)重要.

第一，應(yīng)該增加硬件層面的主動(dòng)篡改保護(hù)功能，對(duì)終端硬件模塊和物理接口進(jìn)行一定程度的安全保障，如采用環(huán)氧樹脂覆蓋調(diào)試接口，當(dāng)設(shè)備被打開后通過自毀電路裝置進(jìn)行芯片破壞等方案防止被攻擊.

第三，核心器件應(yīng)盡量選擇機(jī)密性更好的封裝方式，并將敏感的數(shù)據(jù)線或地址線封裝到PCB板內(nèi)層.

3.2 系統(tǒng)(固件)安全防護(hù)

IoT智能硬件的系統(tǒng)(固件)是整個(gè)終端的核心，承載著所有功能和業(yè)務(wù)應(yīng)用以及底層硬件資源調(diào)度和管理，所以其安全在一定程度上影響產(chǎn)品整體安全.通常大規(guī)模網(wǎng)絡(luò)攻擊和漏洞利用均是系統(tǒng)漏洞或者固件配置不合理的問題.

IoT智能硬件系統(tǒng)(固件)的安全應(yīng)滿足以下幾點(diǎn)：

第一，安全的系統(tǒng)(固件)升級(jí)機(jī)制.系統(tǒng)(固件)升級(jí)非常重要，因?yàn)檐浖穆┒磶缀醪豢杀苊猓圆捎眉皶r(shí)進(jìn)行漏洞修補(bǔ)和安全升級(jí)至關(guān)重要.

第二，系統(tǒng)權(quán)限限制.采用最小權(quán)限原則，保證系統(tǒng)(固件)對(duì)系統(tǒng)資源的調(diào)用等行為總是在受控的情況下.

第三，加強(qiáng)密鑰管理.IoT智能硬件應(yīng)減少共享密鑰的使用，采用個(gè)性化的密鑰、身份和配置，避免單個(gè)產(chǎn)品被破解后產(chǎn)品整體淪陷.

隨著物聯(lián)網(wǎng)應(yīng)用場(chǎng)景越來越多，通用的安全防護(hù)手段并不能完全適應(yīng)所有應(yīng)用場(chǎng)景下的IoT智能硬件，不同場(chǎng)景下的個(gè)性化安全需求側(cè)重點(diǎn)也各不相同.

智能家居場(chǎng)景下[10-12]，IoT智能硬件系統(tǒng)(固件)的首要安全任務(wù)就是隱私數(shù)據(jù)保護(hù)，因?yàn)檫@些數(shù)據(jù)不僅只包含與用戶身份認(rèn)證直接相關(guān)的密碼、指紋以及虹膜等隱私信息，還包含了家庭水電燃?xì)庖约凹彝ハ篮途瘓?bào)數(shù)據(jù)等.智能家居終端的操作系統(tǒng)需要在不影響應(yīng)用端使用這些隱私數(shù)據(jù)的同時(shí)防止隱私數(shù)據(jù)泄露.

智能醫(yī)療場(chǎng)景下,IoT智能硬件系統(tǒng)(固件)除了需要嚴(yán)格保護(hù)隱私數(shù)據(jù)，對(duì)設(shè)備的關(guān)鍵程序操作也需要加強(qiáng)實(shí)時(shí)監(jiān)控，確保異常行為在實(shí)施前可以被終止，切實(shí)地保證醫(yī)療設(shè)備的安全運(yùn)行.

智能汽車應(yīng)用場(chǎng)景下，對(duì)于車輛CAN總線的防護(hù)和隔離至關(guān)重要.用戶訪問車載系統(tǒng)必須進(jìn)行身份驗(yàn)證，系統(tǒng)內(nèi)應(yīng)防止攻擊者借助安全性較低的系統(tǒng)程序(如車載娛樂系統(tǒng)、導(dǎo)航系統(tǒng)等)對(duì)CAN總線非法訪問.系統(tǒng)內(nèi)應(yīng)采用訪問控制，將系統(tǒng)資源和應(yīng)用程序相隔離，從而保護(hù)系統(tǒng)關(guān)鍵文件不被非法訪問.

工業(yè)應(yīng)用場(chǎng)景下，現(xiàn)階段IoT智能硬件的安全性主要依靠入侵檢測(cè)與防御系統(tǒng)[13]，如何提高入侵檢測(cè)的正確率是保證工業(yè)安全性的關(guān)鍵.通過關(guān)鍵設(shè)備控制命令的相關(guān)參數(shù)確定設(shè)備正常運(yùn)行時(shí)的值域范圍，配合專家的意見修訂值域用來與實(shí)時(shí)通信中的控制命令參數(shù)進(jìn)行比對(duì)確定入侵，從而確保異常程序行為不被執(zhí)行.

3.3 應(yīng)用安全防護(hù)

IoT智能硬件的應(yīng)用包括設(shè)備內(nèi)置應(yīng)用和對(duì)應(yīng)手機(jī)客戶端應(yīng)用，它們承載著所有的業(yè)務(wù)功能，很多用戶的敏感數(shù)據(jù)也會(huì)存儲(chǔ)在相關(guān)的業(yè)務(wù)應(yīng)用中，關(guān)鍵應(yīng)用的安全性會(huì)影響到整體業(yè)務(wù)的安全.應(yīng)用安全的防護(hù)主要分為3個(gè)階段的防護(hù)：應(yīng)用設(shè)計(jì)開發(fā)階段、應(yīng)用發(fā)布階段、應(yīng)用運(yùn)維階段.

在應(yīng)用設(shè)計(jì)開發(fā)階段，應(yīng)針對(duì)業(yè)務(wù)場(chǎng)景認(rèn)真分析安全需求并應(yīng)用相應(yīng)的安全技術(shù)，提高開發(fā)人員的代碼安全意識(shí)，嚴(yán)格執(zhí)行代碼審計(jì)，嚴(yán)格控制內(nèi)置應(yīng)用權(quán)限，減少程序漏洞的出現(xiàn).

在應(yīng)用發(fā)布階段，對(duì)開發(fā)完成的應(yīng)用進(jìn)行加固和代碼混淆，同時(shí)運(yùn)用反編譯保護(hù)、完整性保護(hù)、數(shù)據(jù)保護(hù)等技術(shù)手段，以防止程序被反編譯和破解.

在應(yīng)用運(yùn)維階段，要建立應(yīng)用程序風(fēng)險(xiǎn)識(shí)別能力，實(shí)時(shí)分析終端上應(yīng)用程序的安全態(tài)勢(shì)以及風(fēng)險(xiǎn)分布，通過威脅情報(bào)收集，預(yù)測(cè)安全風(fēng)險(xiǎn)趨勢(shì)，做好預(yù)警工作，及時(shí)處理應(yīng)用出現(xiàn)的各類安全事件.

3.4 數(shù)據(jù)安全防護(hù)

IoT智能硬件收集的數(shù)據(jù)涉及到企業(yè)的經(jīng)濟(jì)及商業(yè)機(jī)密，一旦泄露可能會(huì)導(dǎo)致企業(yè)破產(chǎn)、人身威脅，甚至威脅到國土安全.數(shù)據(jù)安全方案建議如下：第一，保證安全的網(wǎng)絡(luò)傳輸，包括采用雙向多因素認(rèn)證、足夠強(qiáng)度的加密、獨(dú)立VPN或APN、安全成熟的傳輸協(xié)議等方案；第二，采用成熟可靠的加密算法，加密存儲(chǔ)重要密鑰、密碼、系統(tǒng)配置等文件及敏感信息.

4 IoT智能硬件安全評(píng)測(cè)模型

為了加強(qiáng)IoT智能硬件安全的管理，針對(duì)各產(chǎn)品類型的IoT智能硬件安全水平進(jìn)行客觀、綜合評(píng)價(jià)，進(jìn)行安全評(píng)測(cè)是行之有效且必須的手段.

安全評(píng)測(cè)模型從分層模型入手，針對(duì)各層開展安全評(píng)測(cè)，主要包括硬件安全、系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全4個(gè)方面，評(píng)測(cè)的關(guān)鍵點(diǎn)和相關(guān)技術(shù)如圖2所示:

圖2 IoT智能硬件安全評(píng)測(cè)關(guān)鍵點(diǎn)和相關(guān)技術(shù)

IoT智能硬件種類繁多，使用場(chǎng)景多樣，安全評(píng)測(cè)方法一刀切是不現(xiàn)實(shí)的.評(píng)測(cè)者需要首先了解相關(guān)背景，才能對(duì)評(píng)測(cè)需求有一個(gè)整體的把控，有重點(diǎn)、有目標(biāo)地進(jìn)行測(cè)試.其次，評(píng)測(cè)者應(yīng)進(jìn)一步了解產(chǎn)品的整體實(shí)現(xiàn)架構(gòu)和方案，這樣既可以評(píng)估設(shè)計(jì)、實(shí)現(xiàn)方案與場(chǎng)景是否和需求匹配，又可以對(duì)后續(xù)詳細(xì)的測(cè)試進(jìn)行總體指導(dǎo).

測(cè)試完成后，是研發(fā)人員修復(fù)問題的階段.評(píng)測(cè)人員結(jié)合需求和測(cè)試結(jié)果，進(jìn)行相應(yīng)的復(fù)測(cè)，直到產(chǎn)品安全達(dá)標(biāo)或需求終止.

5 總結(jié)與展望

本文分析了IoT智能硬件的安全威脅和原因，并給出了相應(yīng)的安全防護(hù)建議，并在本文最后提出了安全防護(hù)分層模型，強(qiáng)調(diào)安全評(píng)測(cè)是保證設(shè)備安全入網(wǎng)的關(guān)鍵環(huán)節(jié)，建議在IoT智能硬件產(chǎn)品的研發(fā)過程中引入安全評(píng)測(cè)，以提前發(fā)現(xiàn)問題，保證物聯(lián)網(wǎng)IoT智能硬件安全.